Nume:Worm/Tutiam.A
Descoperit pe data de:24/07/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:143.360 Bytes
MD5:9f2b1ee9a59f56a91a0Ca7b25458e589
Versiune VDF:6.35.00.180
Versiune IVDF:6.35.00.220

 General Metode de raspandire:
   • Email
   • Reteaua locala


Alias:
   •  Symantec: W32.Miti@mm
   •  Kaspersky: IRC-Worm.Win32.Tutiam.a
   •  TrendMicro: WORM_TUTIAM.A
   •  VirusBuster: Worm.Tutiam.A
   •  Bitdefender: Dropped:Win32.Worm.Tamiami.A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Creeaza un fisier malware
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\strangler.exe
   • %WINDIR%\Tamiami.wrd
   • %WINDIR%\tamweb\Pictures.exe



Creeaza urmatoarele directoare:
   • %WINDIR%\tammail
   • %WINDIR%\tamweb



O sectiune este adaugata fisierului.
– Catre: %unitate disc%:\*.zip Cu urmatorul continut:
   • SourceCode.exe
     Addons_ENG.exe
     Pictures.exe
     Licence.exe
     ReadMe.exe
     Install.exe
     Quellcode.exe
     Addons.exe
     Bilder.exe
     Lizenz.exe
     LiesMich.exe
     Installation.exe
     (%fisier executat%)




Sunt create fisierele:

– %WINDIR%\tamver.sys
– %WINDIR%\Tamiami.vbs
– %WINDIR%\tamweb\index.htm Detectat ca: Worm/Tamiami.A

– %WINDIR%\Tamiami.mrc

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Tamiami"="%WINDIR%\strangler.exe"



Se adauga in registrii sistemului:

– [HKCU\Identities\%dependent de sistem%\Software\Microsoft\
   Outlook Express\5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000



Urmatoarele chei din registri sunt modificate:

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Noua valoare:
   • "Start"=dword:00000004

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: irc.quake**********
Port: 6667
Parola serverului: %sir de 8 caractere aleatoare%
Canal: #tamiami
Nick: %sir de 8 caractere aleatoare%
Parola: strangler

Server: quakenet.under**********
Port: 6667
Parola serverului: %sir de 8 caractere aleatoare%
Canal: #tamiami
Nick: %sir de 8 caractere aleatoare%
Parola: strangler

Server: irc.efn**********
Port: 6667
Parola serverului: %sir de 8 caractere aleatoare%
Canal: #tamiami
Nick: %sir de 8 caractere aleatoare%
Parola: strangler

Server: icr.under**********
Port: 6667
Parola serverului: %sir de 8 caractere aleatoare%
Canal: #tamiami
Nick: %sir de 8 caractere aleatoare%
Parola: strangler

Server: eu.under**********
Port: 6667
Parola serverului: %sir de 8 caractere aleatoare%
Canal: #tamiami
Nick: %sir de 8 caractere aleatoare%
Parola: strangler

Server: us.under**********
Port: 6667
Parola serverului: %sir de 8 caractere aleatoare%
Canal: #tamiami
Nick: %sir de 8 caractere aleatoare%
Parola: strangler

Server: port80c.se.quake**********
Port: 6667
Parola serverului: %sir de 8 caractere aleatoare%
Canal: #tamiami
Nick: %sir de 8 caractere aleatoare%
Parola: strangler


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • deconectare server IRC
    • intrare pe canal IRC
    • Porneste rutina de raspandire

 Alte informatii  Cauta o conexiune Internet, contactand urmatorul website:
   • http://update.microsoft.com


Mutex:
Creeaza urmatorul mutex:
   • Worm.Tamiami v1.3.2 by DiA/RRLF

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Descripción insertada por Monica Ghitun el lunes 24 de julio de 2006
Descripción actualizada por Andrei Ivanes el lunes 27 de noviembre de 2006

Volver . . . .